La technique de fingerprinting web porte gravement atteinte la vie prive des internautes Mais les navigateurs Tor et Firefox permettent de s’en protger, d’aprs le blog de Bitestring

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Si vous lisez cet article, c’est que vous utilisez probablement un navigateur web et que vous avez des attentes ou des convictions en matire de protection de la vie prive et de scurit en ligne. Par exemple, je ne sais pas ce que vous lisez dans les autres onglets de votre navigateur web, et vous aimeriez qu’il en soit ainsi. Mais les sites web eux-mmes savent que vous lisez une page particulire de leur site. Ils connaissent trs probablement votre adresse IP et, si vous tes connect leur site web, ils connaissent galement votre identit. Ce n’est pas draisonnable, car vous avez choisi de vous identifier en change de certains services. C’est ainsi que fonctionne le web.

Vous avez peut-tre aussi entendu parler du suivi intersites l’aide de cookies. Les cookies sont des fichiers persistants placs sur votre navigateur web par un site web pour vous identifier ultrieurement lorsque vous visitez le mme site. Les cookies intersites sont mis en place par des domaines tiers prsents sur un site web, et le mme tiers peut galement tre prsent sur d’autres sites web. Les domaines tiers vous suivent tout au long de vos sessions de navigation et sont capables de vous identifier de manire unique sur diffrents sites web. C’est ainsi que des publicits vous sont prsentes en fonction de votre historique de navigation. La tierce partie est gnralement une socit de publicit (Google) et elle est prsente sur presque tous les sites web. Mme s’il semble contraire l’thique qu’un tiers suive votre historique de navigation, vous avez au moins le contrle. Les navigateurs Web vous permettent de supprimer les cookies, de sorte que les tiers ne peuvent pas vous relier vos sessions antrieures. C’est ce que fait la navigation prive. Il efface tous les cookies (et l’historique) la fermeture de la fentre.

Des navigateurs comme Firefox sont dsormais dots d’une protection avance contre ce type de traage. Ils isolent les cookies de tiers par site web. Cela signifie que les annonceurs ou les tiers ne peuvent pas vous suivre sur diffrents sites web. Cela affecte les revenus des socits de publicit car elles ne peuvent pas connatre l’ensemble de votre activit de navigation et ne peuvent donc pas vous montrer des publicits personnalises.

Selon votre modle de menace, le fait d’tre identifi par un site web tiers au cours de diffrentes sessions peut vous mettre mal l’aise. Vous pouvez donc paramtrer votre navigateur web pour qu’il efface automatiquement les cookies ou utiliser des modules complmentaires cet effet.

Mais les entreprises ont trouv un autre moyen de vous identifier de manire unique travers diffrentes sessions et diffrents sites web sans utiliser de cookies ou d’autres formes de stockage persistant. C’est ce qu’on appelle le web fingerprinting (ou browser fingerprinting). Le fingerprinting est une approche plus sophistique qui permet d’identifier un utilisateur parmi des millions d’autres. Elle repose sur l’tude de votre navigateur web et de la configuration de votre matriel. De nombreux sites web utilisent une bibliothque d’empreintes digitales pour gnrer un identifiant unique. Cette bibliothque recueille des donnes partir de plusieurs API JavaScript offertes par votre navigateur web. Par exemple, les sites web peuvent voir la version du navigateur web, le nombre de CPU sur votre appareil, la taille de l’cran, le nombre de points de contact, les codecs vido/audio, le systme d’exploitation et bien d’autres dtails que vous ne voudriez pas qu’un site web d’information typique voie.

Toutes ces valeurs sont combines pour gnrer un identifiant unique. tonnamment, les spcifications de l’appareil et du navigateur de chaque utilisateur diffrent tellement qu’il obtient un identifiant unique parmi des millions d’autres.

Je ne pensais pas que le web fingerprinting tait srieux jusqu’ ce que je tombe sur une socit qui vend ce service d’autres sites web. J’ai essay leur dmo et j’ai t choqu par leur prcision. De nombreux sites de commerce lectronique l’utilisent parce que ces socits de prise d’empreintes digitales les vendent en disant qu’elles empchent les fraudes la carte de crdit et augmentent la scurit des sites web.

Si vous tes paranoaque comme moi et que vous utilisez des navigateurs privs comme Firefox Focus ou que vous effacez toujours les cookies lorsque vous fermez le navigateur, cela ne vous aide pas vraiment protger votre vie prive. Les navigateurs et les normes Web sont devenus si compliqus que la prise d’empreintes digitales est plus facile que vous ne le pensez.

Fingerprinting en tant que Service

Nous allons tester un produit conu par une socit appele FingerprintJS Inc. qui vend la prise d’empreintes digitales en tant que service. Elle cre des bibliothques JavaScript d’empreintes digitales qui sont en fait open source et les vend de nombreux sites web. Il y a FingerprintJS Pro qui est une version encore plus effrayante de la bibliothque d’empreintes digitales normale. Peu importe que vous utilisiez un VPN ou un mode de navigation prive, ils peuvent vous identifier avec prcision. Voici comment ils se dcrivent : « La plateforme d’identit des appareils pour les applications grande chelle« .

FingerprintJS propose une dmonstration sur sa page d’accueil. Lorsque vous visitez ce site web, il gnre un identifiant de visiteur (empreinte digitale) qui est unique pour votre navigateur. Ainsi, mme si vous videz le cache (et d’autres donnes du site) ou si vous visitez le site en mode de navigation prive, ils peuvent gnrer le mme identifiant et tablir une corrlation avec votre visite prcdente.

Mes tests sur les navigateurs web les plus populaires

Nous allons maintenant procder aux tapes suivantes pour prouver que la prise d’empreintes digitales fonctionne et qu’elle porte gravement atteinte notre vie prive.

  • tape 1 : Visitez le site https://fingerprint.com
  • tape 2 : Affichez l’empreinte digitale gnre.
  • tape 3 : Effacez le cache du navigateur et toutes les autres donnes du site.
  • tape 4 : Visitez nouveau le site https://fingerprint.com.
  • tape 5 : Affichez l’empreinte digitale ainsi que l’historique des visites prcdentes. Mme si le navigateur ne contient pas de cookies ou d’autres donnes de site, leur produit peut gnrer le mme identifiant de visiteur et le relier notre visite prcdente.
  • tape 6 : Effacer le cache du navigateur et toutes les autres donnes du site.
  • tape 7 : Visitez le site https://fingerprint.com en mode de navigation prive.
  • tape 8 : Affichez l’empreinte digitale et voyez comment elle est corrle aux deux visites prcdentes que nous avons dj effectues. Oui, en mode de navigation prive.

Nous allons maintenant effectuer ces tests sur Firefox, Chromium et Tor Browser.

Firefox

Remarquez que les diffrentes sessions sont connectes par la mme empreinte digitale gnre par FingerprintJS. Firefox dans sa configuration par dfaut est sujet au fingerprinting.

Firefox avec privacy.resistFingerprinting = true

Firefox dispose d’un paramtre appel resistFingerprinting (initialement fourni par le projet Tor) qui le rend plus rsistant au fingerprinting. Lorsqu’il est activ, Firefox essaie de masquer certaines proprits comme l’agent utilisateur, le nombre de CPU, le fuseau horaire, la rsolution de l’cran, etc. de manire uniforme pour tous les utilisateurs. Cela rend plus difficile la prise d’empreintes digitales.

Vous pouvez l’activer en visitant about:config et en rglant privacy.resistFingerprinting = true dans votre navigateur Firefox.

Cette fois-ci, FingerprintJS n’a pas pu tablir de lien avec les sessions prcdentes. Chaque session reoit un identifiant unique puisque Firefox durcit certaines API contre le fingerprinting.

Chromium / Chrome

Chromium (Chrome) est construit par Google, une socit de publicit qui suit ses utilisateurs pour leur montrer des publicits pertinentes. Il n’a donc pas de protection intgre contre le fingerprinting. Chromium (et Google Chrome) est vulnrable au fingerprinting.

FingerprintJS gnre le mme identifiant dans chaque session de Chromium, ce qui lui permet d’identifier les utilisateurs au cours de diffrentes sessions.

Tor Browser

Le Tor Browser est conu par le projet Tor, une organisation but non lucratif. Tor Browser achemine le trafic internet travers de multiples relais travers le monde, rendant ainsi les sessions de navigation de l’utilisateur plus prives. Il est bas sur Firefox et de nombreuses fonctionnalits de Tor Browser ont t incorpores dans Firefox.

Veuillez noter que Tor Browser fonctionne toujours en mode de navigation prive. Je ne l’ai donc pas test explicitement en mode navigation prive.

FingerprintJS n’a pas pu relier deux sessions diffrentes de Tor Browser pour le mme utilisateur. Tor Browser est donc plus sr contre le fingerprinting.

Conclusion

Le fingerprinting est devenu une mthode populaire de traage des utilisateurs en raison de sa capacit relier plusieurs sessions de navigation diffrentes mme si l’utilisateur efface son historique de navigation et ses donnes. tant donn que des entreprises vendent des services de fingerprinting, si vous voulez vraiment vous protger du fingerprinting, vous devriez utiliser Tor Browser ou Firefox avec resistFingerprinting=true. Si vous devez utiliser Chromium, le navigateur Brave est un bon choix. Il randomise galement l’empreinte digitale pour chaque session, ce qui rend plus difficile l’tablissement d’un lien entre vos sessions de navigation. Cependant, je ne recommande pas Brave car il est bas sur le moteur Chromium de Google, ce qui ne fait qu’encourager le monopole de Google.

Sur mobile, seuls Tor Browser et Firefox avec resistFingerprinting=true ont pu se protger contre le fingerprinting. Firefox Focus laisse chapper des empreintes digitales mme si vous effacez sa session chaque fois. Notez galement que les VPN n’aident pas lutter contre le fingerprinting. Ils ne font que masquer l’adresse IP.

Source : Article « Web fingerprinting is worse than I thought »

Et vous ?

Quel est votre avis sur le sujet ?

Pensez-vous que l’analyse prsente ici est pertinente ?

Que pensez-vous du fingerprinting ? Avez-vous dj essay cette technologie ?

Voir aussi

Des chercheurs dveloppent une technique de fingerprinting permettant d’identifier 99 % un internaute, mme s’il se sert de plusieurs navigateurs

Firefox 52 envisage de mieux protger les utilisateurs contre le fingerprinting de polices systme, en se servant d’un mcanisme de liste blanche

Votre historique de navigation peut vous identifier de manire prcise, d’aprs une tude mene par les chercheurs de Mozilla



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.